Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust
2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。
Continue reading “DARPA の TRACTOR プログラム:C → Rust 変換によりメモリ・セーフ言語へ加速”Whitepaper: DevSecOps Blueprint
2024/07/29 HelpNetSecurity — GitGuardian による DevSecOps Blueprint ホワイトペーパー “Vulnerability Management and Security-by-Design to Pipeline Integrity” では、SDLC (Software Development Life Cycle) のあらゆる側面に対応する、自動化された技術主導の DevSecOps プログラムを、構築するための強固な基盤が概説されている。このホワイトペーパーでは、ツール/テクノロジー/プロセス (IR やセキュリティ・テストのような)/関係者などの、あらゆるレイヤーにセキュリティを組み込む方法が学ぶことが可能であり、セキュリティを維持しながら、開発者の作業時間を短縮できる。
Continue reading “DevSecOps Blueprint:脆弱性管理と Security-by-Design からパイプラインの完全性まで – GitGuardian”MITRE Unveils EMB3D: A Threat-Modeling Framework for Embedded Devices
2024/05/13 TheHackerNews — MITRE Corporation が正式に公開したのは、重要インフラ環境で使用される組込み機器メーカー向けの、EMB3D と呼ばれる新たな脅威モデリング・フレームワークである。この非営利の組織は、「今回のモデルは、組込み機器に対するサイバー脅威について、これまでに培われた知識ベースを提供し、この脅威を軽減するために必要なセキュリティ・メカニズムの共通の理解を提供する」と述べている。
Continue reading “MITRE が公表する EMB3D:組み込み系デバイスのための脅威モデリング・フレームワーク”RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
Continue reading “OSS セキュリティを加速:レギュレーション整備/Security-by-Design/AI の活用 – RSA Con”How to Navigate Open-Source Security Without Stifling Innovation
2024/02/08 InfoSecurity — Open-Source ソフトウェアのコードが、重要インフラを含むあらゆる部門で利用される規模を反映するかのように、各国政府におけるセキュリティへの関心が高まっている。Open-Source ソフトウェアの広範な利用と、それがもたらすリスクは、2021年12月に発見された悪名高い Log4j の脆弱性により証明された。その影響力は、グローバルで 58% の組織に及んだとされている。
Continue reading “Open-Source Security の現状と未来:コミュニティとユーザーと政府は何を考えるべきか?”CISA Introduces Secure-by-design and Secure-by-default Development Principles
2023/04/14 SecurityWeek — CISA は、サイバー・セキュリティ製品を開発する際の、Security-by-Design および Security-by-Default の原則を公表した。2023年3月1日に発表された、Pillar Three of the National Cybersecurity Strategy published の三本目の柱は、Shape market forces to drive security and resilience (セキュリティとレジリエンスを推進するために市場の力を形作る) と題されている。このセクションの中では、2つのポイントが明確にされている。第一に、セキュリティの責任を、セキュリティ製品の使用から開発へとシフトさせることである。第二に、このシフトを促すために、連邦政府の調達力を利用することである。
Continue reading “Security-by-Design と Security-by-Default の原則:政府の調達力を用いて普及させる – CISA”
IoT OT Security News 